Rendre agile les tests d'intégration des systèmes avioniques par des langages dédiés

(1)

THÈSE

En vue de l’obtention du

DOCTORAT DE L’UNIVERSIT´

E DE TOULOUSE

Délivré par : l’Université Toulouse 3 Paul Sabatier (UT3 Paul Sabatier)

Pr´esent´ee et soutenue le 16/07/2018 par :

Robin Bussenot

Rendre Agile les tests d’intégration des systèmes avioniques par des langages dédiés

JURY

Ana Rosa Cavalli Professeur,

Institut T´el´ecom Sud Paris

Rapporteur

Herv´e Leblanc Maˆıtre de conf´erence,

Universit´e Paul Sabatier

Co-directeur

Christian Percebois Professeur,

Universit´e Paul Sabatier

Directeur

Laurent R´eveill`ere Professeur,

Universit´e de Bordeaux

Rapporteur

S´ebastien Salva Professeur,

Universit´e d’Auvergne

Examinateur H´el`ene Waeselynck Directrice de recherche CNRS,

LAAS

Examinatrice

Jean-Pierre Gaubert Ing´enieur, Airbus Invit´e

´

Ecole doctorale et sp´ecialit´e :

MITT : Domaine STIC : Réseaux, Télécoms, Systèmes et Architecture Unité de Recherche :

Institut de Recherche en Informatique de Toulouse Directeur(s) de Th`ese :

Christian Percebois et Herv´e Leblanc Rapporteurs :

(2)

(3)

R´

esum´

e

Dans l’ingénierie avionique, les tests d’intégration sont cruciaux : ils permettent de s’assurer du bon comportement d’un avion avant son premier vol, ils sont nécessaires au processus de certification et permettent des tests de non-régression à chaque nouvelle ver-sion d’un système, d’un logiciel ou d’un matériel. La conception d’un test d’intégration coûte cher car elle mêle la réalisation de la procédure, le paramétrage de nombreux outils couplés au banc de test ainsi que l’adressage des interfaces du système testé. Avec des procédures de test écrites en langage naturel, l’interprétation des instructions d’un test lors de son rejeu manuel peut provoquer des erreurs coûteuses à corriger, en raison notam-ment des actions précises à entreprendre lors de l’exécution d’une instruction de test. La formalisation et l’automatisation de ces procédures permettraient aux équipes de testeurs de se concentrer sur la réalisation de nouveaux tests exploratoires et sur la mise au point de tels systèmes au plus tôt. Or, un système avionique est composé de plus d’une centaine de systèmes embarqués, chacun concernant des compétences spécifiques.

Notre contribution est alors un framework orchestrant les langages de test dédiés à l’intégration de systèmes avioniques dans une vision Agile. Nous introduisons tout d’abord le concept de langage spécifique à un domaine (Domain Specific Language ou DSL) et montrons comment nous l’utilisons pour la formalisation des procédures de test dédiées `

a un type de système particulier. Ces langages devront pouvoir être utilisés par des tes-teurs avioniques qui n’ont pas forcément de compétences en informatique. Ils permettent l’automatisation des tests d’intégration, tout en conservant l’intention du test dans la des-cription des procédures. Puis, nous proposons l’approche BDD (Behavior Driven Develop-ment ) pour valider l’intégration de systèmes par scénarios comportementaux décrivant le comportement attendu de l’avion.

Nous nommons Domain Specific Test Languages (DSTL) les langages utilisés par les testeurs. A chaque système (ATA ou Air Transport Association of America) correspond un DSTL métier. Un premier DSTL concernant les systèmes de régulation de l’air a été développé entièrement en tant que preuve du concept à partir de procédures existantes pseudo-formalisées. L’expérimentation s’est poursuivie avec les calculateurs standardisés IMA (Integrated Modular Avionic) pour lesquels les procédures de test sont décrites en langage naturel et sont donc non automatisables. A partir d’un corpus de procédures, nous proposons un premier processus empirique d’identification des patrons de phrases peuplant

(4)

un DSTL. Le corpus fourni est composé de dix procédures totalisant 108 chapitres de test et 252 tests ou sous-tests comportant au total 3708 instructions pour 250 pages Word. Rendre Agile ces tests d’intégration consiste à proposer une approche collaborative pour formaliser un DSTL que ce soit pour les patrons de phrases de la grammaire concrète ou pour les patrons de transformations vers des langages exécutables.

(5)

Abstract

In avionics engineering, integration tests are crucials : they allow to ensure the right behavior of an airplane before his first flight, they are needed to the certification process and they allow non-regression testing for each new version of a system, of a software or of a hardware. The design of an integration test is expensive because it involves the implementation of the procedure, the configuration of tools of the bench and the setup of the interfaces of the system under test. With procedure written in natural language, the interpretation of statements of a test during the manual execution can lead to mistakes that are expensive to fix due to accurate actions needed to perform a statement. The formalization and the automation of those procedures allow testers team to focus on the implementation of new test cases.

First of all, we introduce Domain Specific Language (DSL) and show how we use it to formalize tests procedures dedicated to a kind of system. Those languages should be able to be use by avionic testers which do not necessarily have programming skills. They allow test automation, while maintaining test intention in the test description. Then, we proposed a BDD (Behavior Driven Development) approach to validate the integration of systems thanks to behavioral scenarios describing the expected behavior of the airplane. Our contribution is a framework which orchestrate DSLs dedicated to integration test of avionic systems in an Agile vision.

We named Domain Specific Test Languages (DSTL), languages used by expert testers. For each system (ATA ou Air Transport Association of America) corresponds a DSTL business. A first DSTL about the validation of airflow control systems has been developed as a proof of concept from existing procedures pseudo-formalized. The experimentation has been continued with IMA (Integrated Modular Avionic) calculators for which test procedures are written in natural language and thus are not automatable. From a corpus of procedures, we propose a first empirical process to identify sentence patterns composing the DSTL. The corpus provided is composed by ten procedures totaling 108 test chapters and 252 tests or subtests involving 3708 statements for a total of 250 Word pages. Make Agile integration tests in this context consist to propose a collaborative approach to formalize a DSTL and to integrate it in the orchestration framework to generate automatically the glu code.

(6)

(7)

Remerciements

En premier lieu, je tiens à adresser mes remerciements à Monsieur Percebois et Mon-sieur Leblanc, respectivement directeur et encadrant de cette thèse. Ils ont su me soutenir, m’aider et me guider tout au long de ce travail. J’associe à ces remerciements toutes les personnes du jury qui ont permis la validation de cette thèse.

Je tiens également à remercier Jean-Pierre Gaubert, responsable d’une équipe d’int´ e-gration Airbus, de m’avoir fait confiance et de m’avoir donné l’opportunité d’expérimenter mes travaux dans un contexte industriel. De même, j’aimerais remercier tous les acteurs du projet ACOVAS qui m’ont aiguillés grâce à leurs expériences et qui m’ont permis d’ap-préhender l’industrie avionique et ses besoins.

J’aimerais remercier toutes les personnes présentes à mes côtés tout au long de mes ´

etudes. J’adresse toute ma reconnaissance à Tariq qui a su être là quand j’en avais besoin, `

a Xavier qui m’a aidé à garder le cap pour atteindre mes objectifs et à Vanessa, sa compagne, pour sa bonne humeur et les relectures effectuées lors de la rédaction de ce manuscrit.

Mes remerciements vont aussi à ma famille et principalement à mes parents qui ont été présents dans les bons comme dans les mauvais moments et qui m’ont supporté à chaque instant. Je les remercie de leur patience et de m’avoir donné la chance d’accomplir toutes ces années d’études.

Mes derniers remerciements vont à ma compagne, Charlène, qui a toujours été présente pour moi et qui m’encourage et me motive dans tout ce que j’entreprends. La patience et le soutien dont elle a fait preuve durant cette thèse ont été infaillibles et m’ont donné la force pour achever ce travail.

(8)

(9)

Table des mati`

eres

Introduction 13

1 Tests pour l’ing´enierie des syst`emes avioniques 17

1.1 Syst`eme avionique : production, caract´eristiques et

nouvelles infra-structures . . . 18

1.1.1 Processus de d´eveloppement : les cycles en V . . . 18

1.1.2 Caract´eristiques d’un syst`eme avionique . . . 21

1.1.3 D´ecoupage d’un syst`eme avionique . . . 22

1.1.4 Diff´erents types d’architecture avionique . . . 25

1.1.5 Interface Control Document (ICD) . . . 27

1.1.6 Les phases de test . . . 28

1.2 Un focus sur les tests d’int´egration . . . 30

1.2.1 Les phases de test d’int´egration . . . 31

1.2.2 In-the-Loop testing . . . 33

1.2.3 Le banc de test . . . 35

1.2.4 Des exigences aux proc´edures de test . . . 36

1.2.5 Les langages de test . . . 37

1.3 Introduction du g´enie logiciel dans les tests avioniques . . . 38

1.3.1 Pour le test de plates-formes IMA . . . 38

1.3.2 Par l’utilisation de l’ing´enierie des mod`eles . . . 39

1.3.3 Par l’utilisation des m´ethodes agiles . . . 41

1.4 Un framework BDD pour la conception de test d’int´egration . . . 42

1.4.1 Un framework de langages de test d’int´egration . . . 43

1.4.2 Une famille de langages de haut niveau . . . 44

1.5 Conclusion . . . 45

2 Orchestration de langages de test m´etier dans une approche comporte-mentale 47 2.1 Domain Specific Language (DSL) . . . 48

(10)

2.1.2 B´en´efices attendus . . . 50

2.1.3 Fronti`ere avec les langages de programmation classiques . . . 51

2.1.4 Domaines d’application . . . 52

2.1.5 Impl´ementation d’un DSL . . . 54

2.1.6 Apport des DSL aux tests d’int´egration avionique . . . 58

2.2 Behavior Driven Development (BDD) . . . 59

2.2.1 Le BDD, une alternative au Test Driven Development . . . 59

2.2.2 L’approche BDD . . . 60

2.2.3 Outils et framework BDD . . . 61

2.3 Choix de l’outil pour la conception de langages . . . 62

2.3.1 Outils disponibles . . . 62

2.3.2 Un exemple JBehave impl´ement´e avec Xtext et MPS . . . 63

2.3.3 R´esultat de l’exp´erimentation . . . 70

2.4 Une approche BDD pour les tests d’int´egration syst`eme . . . 74

2.4.1 Sch´ema global du framework . . . 74

2.4.2 B´en´efices attendus . . . 76

3 Exp´erimentation du framework sur l’ATA 21 77 3.1 Emergence du langage pivot . . . 78

3.1.1 Contexte . . . 78

3.1.2 Conception du langage pivot . . . 80

3.1.3 Grammaire des instructions du langage . . . 82

3.1.4 Syntaxe concr`ete et ´editeurs projectionnels . . . 86

3.1.5 Formalisation d’un ICD et des outils externes . . . 87

3.1.6 S´emantique des instructions du langage . . . 90

3.2 Le DSTL ATA 21 . . . 91

3.2.1 Conception du langage ATA 21 . . . 92

3.2.2 Grammaire du DSTL ATA 21 . . . 94

3.2.3 M´ecanisme d’alias des param`etres avioniques . . . 96

3.2.4 Exemple de cas de test . . . 97

3.3 Chaˆıne de transformations du framework . . . 99

3.3.1 Du langage DSTL ATA 21 vers le langage pivot . . . 99

3.3.2 Exemple de transformation en langage pivot . . . 102

3.3.3 Du langage pivot vers SCXML . . . 102

3.3.4 Du langage pivot vers Python . . . 107

4 Expérimentation de la formalisation d’un DSTL pour l’ATA 42 113 4.1 Présentation du corpus des procédures . . . 114

4.1.1 Structuration des proc´edures existantes . . . 115

(11)

4.1.3 M´etriques du corpus . . . 117

4.2 Structure g´en´erique d’un DSTL . . . 117

4.2.1 Concepts du langage core . . . 118

4.2.2 Contraintes s´emantiques . . . 120

4.2.3 Tra¸cabilit´e des objectifs de test . . . 122

4.2.4 Composition des langages dans le framework . . . 123

4.3 Outils NLP pour l’identification des instructions ATA 42 . . . 125

4.3.1 Utilisabilit´e des outils NLP . . . 126

4.3.2 Instructions Step . . . 127

4.3.3 Instructions Trace . . . 129

4.3.4 Instructions Check et Log . . . 131

4.4 Carte conceptuelle des instructions ATA 42 . . . 132

4.4.1 Processus de cr´eation de la carte conceptuelle . . . 133

4.4.2 Instructions Step . . . 133

4.4.3 Instructions Trace . . . 136

4.4.4 Instruction Log . . . 137

4.4.5 Instruction Check . . . 140

4.5 Premi`ere validation par les testeurs . . . 141

Conclusion 149

(12)

(13)

Introduction

Les systèmes composant un aéronef sont critiques, embarqués, réactifs et temps-réel. Le découpage de l’aéronef en systèmes, sous-systèmes, puis en équipements est établi lors de la phase de spécification du système global. Une fois les fonctions de l’avion identifiées, elles sont regroupées en plusieurs domaines. Ces domaines correspondent à la classifica-tion ATA (Air Transport Associaclassifica-tion of America) qui propose un découpage des systèmes d’un avion en 100 chapitres différents. A titre d’exemple, le système de l’aéronef inclut les domaines suivants : air conditionné et pressurisation, vol automatique, communications, génération électrique, commandes de vol, avionique modulaire intégré . . . La criticité des systèmes avioniques implique qu’ils doivent être préalablement certifiés pour qu’un avion soit commercialisable. La vérification et la validation des systèmes composant un domaine, puis de l’intégration correcte de ces systèmes, sont prépondérantes pour garantir la sûreté de fonctionnement d’un avion en toutes circonstances.

Le test est l’activité essentielle du processus de vérification et de validation lors de l’étape d’assemblage des sous-systèmes d’un avion. Tout au long du cycle de développement, chacun des systèmes est testé en isolation pour vérifier son adéquation aux spécifications. Ces systèmes sont ensuite assemblés par domaine dans une phase dite d’intégration. Nous nous sommes intéressés aux tests réalisés durant cette phase. Ces tests sont cruciaux car ils permettent les dernières vérifications avant le premier vol. Les erreurs qui ne sont pas détectées à ce moment peuvent alors être extrêmement coûteuses car elles sont susceptibles de causer des pertes humaines, matérielles et des dommages environnementaux.

Les tests d’intégration sont exécutés à travers un banc de test. Un banc interagit avec le système testé en s’appuyant sur ses interfaces de communication. Il lie le système à une simulation temps-réel qui exécute artificiellement les conditions environnementales et les comportements des systèmes qui ne sont pas encore intégrés. Un test d’intégration nécessite de configurer les interfaces du banc pour établir la connexion avec le système testé et de coordonner la simulation temps-réel et les actions à réaliser pour obtenir le comportement désiré. La plupart du temps, ces comportements sont validés a posteriori par un expert à partir de données d’exécution sauvegardées par le banc.

L’exécution manuelle de ces tests est fastidieuse car elle demande de réaliser des actions minutieuses ou dans un bref délai, comme c’est le cas pour la collecte des résultats au cours de l’exécution. De plus, une grande partie des procédures de test d’intégration sont rédigées

(14)

en langage naturel, moyen d’expression porteur d’ambigu¨ıté où l’interprétation de chacun entre en jeu. Les erreurs pouvant intervenir lors de l’interprétation d’une instruction, lors de la manipulation du banc ou du système et lors de la collecte de résultats peuvent rendre caduque l’exécution d’un test, voire d’une campagne de tests. Le coût d’exécution ´

elevé de ces tests implique qu’ils sont rejoués un minimum de fois. De plus, la conception d’une procédure de test nécessite un savoir-faire d’expert et du temps pour rendre explicite les procédures en langage naturel. La formalisation et l’automatisation de ces procédures permettraient aux équipes de testeurs de concevoir de manière plus rapide et plus sûre des procédures de test, de se concentrer sur la réalisation de nouveaux tests exploratoires et sur la mise au point de tels systèmes au plus tôt.

La formalisation des procédures a pour but de lever toute ambigu¨ıté. C’est la première ´

etape pour les automatiser. Les experts concevant ces procédures connaissent les systèmes testés et les bancs de tests utilisés, mais n’ont cependant pas de compétences en program-mation. Peu de langages de programmation sont dédiés aux tests des systèmes embarqués et ils ne permettent pas aux experts de participer activement à la conception des proc´ e-dures de test automatisables. Dans un premier temps, nous avons proposé d’utiliser les DSL (Domain Specific Languages) pour formaliser les procédures de test spécifiques à chaque ATA. Puisque ces langages sont proches du niveau du langage naturel utilisé des testeurs experts et proches des exigences, nous avons nommé ces langages DSTL (Domain Specific Test Languages). Ce concept sera présenté au chapitre 2 de la thèse. L’élaboration d’un DSTL à partir de la donnée de dizaines de procédures de test en langage naturel fera l’objet du chapitre 4.

Comme écrit précédemment, les tests d’intégration permettent de s’assurer du bon comportement d’un avion avant son premier vol. Ils sont nécessaires au processus de certi-fication et permettent des tests de non-régression à chaque nouvelle version d’un système, d’un logiciel ou d’un matériel. L’automatisation des tests d’intégration représente alors un enjeu fondamental, que ce soit dans leur exécution et dans leur verdict. L’automatisation de l’exécution des tests réduit considérablement les coûts d’intégration des systèmes. Elle a aussi pour conséquence de faciliter le rejeu des tests pour augmenter la confiance lors de la mise en production d’un ensemble de systèmes complexes. Les experts en charge de ces tests disposeront ainsi de plus de temps pour rejouer un bug et en découvrir les causes. Nos DSTL sont alors orchestrés dans un framework en charge de leur automatisation. Ce framework offre trois niveaux de langage, du plus ubiquitaire aux langages de script spécifiques à un banc de test. La chaˆıne de transformations de programmes est accélérée et simplifiée grâce `

a la donnée d’un langage dit pivot accessible aux programmeurs testeurs. Le framework est présenté au chapitre 2. Le langage pivot combiné à des patrons de transformation vers des automates temporisés facilite la production de scripts exécutables comme démontré au chapitre 3.

Le premier chapitre de cette thèse décrit les processus de développement nécessaires `

a la conception d’un avion et la place prépondérante des tests dans ces processus. Diff´ e-rentes approches concernant la formalisation et l’automatisation des tests sont présentées

(15)

et discutées. Nous avons choisi l’ingénierie des langages pour formaliser et orchestrer les différents langages de test dédiés aux ATA. Le deuxième chapitre détaille cette contribu-tion en présentant, tout d’abord, le concept de DSTL, puis leur orchestration. Le troisième chapitre montre la preuve du concept sur le développement complet d’un premier langage de haut niveau dédié au système de régulation de l’air en cabine, jusqu’à la génération de code exécutable pour plusieurs types de banc. Le dernier chapitre expérimente et ébauche un processus de développement dédié à la conception de DSTL à partir d’un corpus de procédures existantes en langage naturel pour un nouvel ATA.

Ces travaux ont été conduits dans le cadre du projet FUI ACOVAS (outil Agile pour la COnception et la VAlidation Système). Ce projet a pour objectif de concevoir une plate-forme de validation et d’intégration système inspirée des méthodes agiles. Cette agilisation concerne aussi bien les fonctionnalités d’un banc que les processus de développement dédiés aux procédures de test. Rendre Agile les tests d’intégration des systèmes avioniques par des langages dédiés constitue notre contribution à ce projet. Le BDD (Behavior Driven Development ) propose que les experts d’un domaine puissent décrire leurs besoins dans un langage ubiquitaire que les programmeurs testeurs transforment en tests automatisés. Les tests d’acceptation automatisés deviennent alors le vecteur de communication pour les parties prenantes. Nous avons transposé cette approche issue de l’ingénierie logicielle à l’ingénierie système pour la conception des tests d’intégration de systèmes avioniques.

(16)

(17)

Chapitre 1

Tests pour l’ing´

enierie des

syst`

emes avioniques

Nous abordons dans ce chapitre la manière dont le développement et les tests entrent en jeu dans le processus de conception d’un avion. Un avion est composé d’un certain nombre de systèmes hétérogènes produits par des fournisseurs différents et intégrés par un avion-neur. Ces systèmes sont embarqués, temps-réel, réactifs et critiques. Ces caractéristiques demandent un effort et une rigueur accrus sur les tests pour des besoins de vérification et de validation, mais aussi de certification car une seule défaillance peut entraˆıner des pertes humaines. Ces systèmes doivent respecter des normes et des standards qui sont définis par des organisations telles que EUROCAE, (EURopean Organisation for Civil Aviation Equipment [33]) ou encore RTCA (Radio Technical Commission for Aeronautics [64]).

Le test est une activité prépondérante du processus de vérification et de validation lors de la réalisation d’un avion. Pour autant, un effort d’automatisation des tests reste à faire, en particulier sur les tests d’intégration. Leur automatisation permettrait de réduire les coûts d’intégration des systèmes. L’automatisation a aussi pour conséquence de faciliter le rejeu des tests pour augmenter la confiance lors de la mise en production d’un ensemble de systèmes complexes.

Avant d’entrer dans le vif du sujet, nous présentons les spécificités du développement avionique, en particulier les évolutions des architectures matérielles et logicielles permet-tant aux différents systèmes composant un avion de communiquer. Une fois les différentes phases du processus de développement présentées (section 1.1), nous nous concentrerons sur notre champ d’étude qui sont les activités liées aux tests d’intégration (section 1.2). Nous positionnerons notre travail qui est un framework BDD (Behavior Driven Development ) pour la conception des campagnes de tests d’intégration (section 1.4), après avoir présenté différents travaux sur la transposition du génie logiciel à l’ingénierie système (section 1.3).

(18)

1.1 Syst`

eme avionique : production, caract´

eristiques et

nouvelles infra-structures

Le processus de développement d’un avion implique des dizaines de milliers de per-sonnes venant de sites, d’entreprises et même très souvent de pays différents. Dans un tel contexte, les erreurs de conception ou d’implémentation sont souvent dues à des erreurs de communication. Le vocabulaire utilisé diffère en fonction des métiers et des disciplines. On peut, par exemple, citer le cas du projet Mars Surveyor 98 visant à envoyer sur l’orbite de Mars deux sondes spatiales. Un problème logiciel s’étant produit lors du calcul de l’alti-tude a causé la perte de la sonde Mars Climate Orbiter. Le rapport [78] produit quelques semaines après, montre que la perte de la sonde est due à une erreur de communication entre l’équipe principale du projet basée dans le Colorado et l’équipe chargée du système de navigation basée en Californie. Ces deux équipes utilisaient deux systèmes d’unités de mesure différents. L’équipe en Californie utilisait le système anglo-saxon pour produire le système de navigation alors que le reste du système était codé avec les unités du système métrique. Tout ceci montre que la communication est un point des plus importants dans le développement de systèmes complexes. C’est d’autant plus vrai pour les systèmes critiques car leurs défauts peuvent causer la perte de vies humaines, engendrer des pertes matérielles importantes ou avoir des conséquences environnementales graves [54].

Dans un autre rapport [45], Edward Weiler, qui était à l’époque directeur du pôle espace `

a la NASA disait ”Les gens font parfois des erreurs”. Cependant, selon lui le problème ne vient pas de l’erreur en elle-même mais plutôt du fait qu’elle n’ait pas été détectée en amont durant le développement. Edward Weiler met aussi en avant l’importance du processus de vérification et de validation qui aurait dû révéler cette erreur si les activités de vérification et de validation avaient été réalisées de manière plus rigoureuse. Plus une erreur est identifiée tardivement, plus elle est coûteuse à corriger.

Cette section aborde les aspects du processus de développement et les caractéristiques d’un système avionique. Nous étudions ensuite les différentes générations d’architectures qui peuvent prendre place dans un avion. Pour qu’une erreur dans le comportement d’un système avionique soit détectée au plus tôt, des activités de test prennent place tout à long du cycle de développement.

1.1.1 Processus de d´eveloppement : les cycles en V

Le processus de d´eveloppement d’un avion suit le mod`ele du cycle en V , comme pr´esent´e `

a la figure 1.1. Ce modèle permet de mettre en opposition le processus de développement qui suit une approche descendante et le processus de vérification et de validation qui suit une approche ascendante.

Le processus de développement d’un avion commence par une phase de spécification et de conception de l’avion dans sa globalité. Il se poursuit par un raffinement des spécifications et de la conception de chaque système le composant. Ce raffinement a pour but de découper

(19)

ce système en entités plus petites et moins complexes, jusqu’à arriver au bon niveau de granularité. Les systèmes qui composent un avion sont divers ; ils incluent le plus souvent une partie matérielle et une partie logicielle. Ces deux parties sont développées séparément puis sont assemblées durant la phase dite d’intégration. Le logiciel permettra de piloter et de fournir la logique pour alimenter en données et contrôler les équipements matériels qui `

a leur tour produiront des données qui seront fournies en entrée aux calculateurs. Figure 1.1 – Développement et activités de tests

Des documents sont rédigés tout au long de la phase descendante pour rendre compte des spécifications du système et des choix de conception réalisés.

Cette représentation du processus de développement pourrait laisser penser que les acti-vités de vérification et de validation ne sont réalisées qu’une fois le développement complet du système réalisé. Ce n’est pas le cas. Pour anticiper les changements dus à des choix erronés de conception ou à des exigences mal définies, d’autres processus itératifs entrent en jeu à chaque niveau de détail de la conception. Ces cycles itératifs sont représentés par les flèches de validation des besoins sur la figure 1.1.

Cette figure montre aussi les activités de test réalisées durant la phase ascendante du cycle en V . Ces activit´es sont regroupées selon les différents niveaux d’intégration d’un avion.

– Au niveau équipement, on retrouve les activités de test validant les applications logicielles et les plates-formes d’exécution. Finalement, les tests de qualification ga-rantissent que les applications logicielles s’exécutent correctement lorsqu’elles sont hébergées par une plate-forme matérielle préalablement testée.

– Au niveau système, les tests s’assurent que les systèmes produits sont corrects et qu’ils s’interfacent correctement avec les autres systèmes de l’avion. Le niveau domaine intègre les systèmes d’un domaine et permet de réaliser les premiers tests au sol. – Au niveau avion, tous les systèmes, préalablement certifiés, sont présents dans une

(20)

Au niveau syst`eme, on retrouve un cycle en V par syst`eme à développer. La figure 1.2 repr´esente le cycle en V pour un syst`eme donn´e. Dans ce cycle en V , on distingue deux autres processus respectant aussi le mod`ele en V : un pour le d´eveloppement du matériel et un pour le développement du logiciel. Ces deux cycles sont représentés en bas de la figure et forment un modèle de développement spécifique appelé mod`ele en W .

Figure 1.2 – Mod`ele en W

Cette approche découpe le développement d’un système selon deux niveaux : un niveau système où l’intégrateur réalise la phase de spécification des besoins et des exigences et commence la conception globale du système (haut de la figure) et le niveau composant où les phases de développement de chaque partie d’un système sont réalisées par un fournisseur (bas de la figure). L’intégrateur réalise aussi les activités de vérification et de validation lors de l’intégration du système développé. Au-dessus du niveau système, on trouve le niveau multi-système qui vise à l’intégration de plusieurs systèmes préalablement testés, comme c’est le cas dans l’iron bird par exemple. De plus amples informations sur l’iron bird sont disponibles à la section 1.1.6.

Chacun des systèmes sont testés séparément pour vérifier que les spécifications sont bien respectées. Ces activités sont représentées par les phases de Software testing et de Harware testing en bas de la figure. Une fois le système développé et livré, l’intégration du système dans l’avion est à la charge de l’avionneur. Cette étape est représentée sur la figure 1.2 par l’activité Components Integration V&V. D’autres tests visent à valider au plus tôt,

(21)

la conception du système grâce à de la modélisation temps-réel (Model-in-the-Loop), le logiciel grâce à la simulation de la plate-forme matérielle d’exécution (Software-in-the-Loop) et l’intégration du matériel dans un environnement simulant les communications avec les autres systèmes de l’avion (Hardware-in-the-Loop). Ces types de test d’intégration seront détaillés dans la section 1.2.2.

1.1.2 Caract´eristiques d’un syst`eme avionique

Un système avionique est un système temps-réel, critique, embarqué, réactif et tolérant aux pannes.

Temps-réel : Les systèmes réel sont divisés en deux catégories. Le temps-réel strict implique que la réponse du système lors d’une sollicitation doit toujours arriver dans un laps de temps donné. Le temps-réel souple autorise un temps de réponse supérieur à une contrainte temporelle, mais ce temps de réponse ne doit pas dépasser un certain nombre de cycles d’exécution. Dans le contexte avionique, les systèmes temps-réel sont majoritairement stricts. Cette caractéristique impacte très largement les choix de conception et d’implémentation que ce soit sur le logiciel ou sur le matériel.

Critique : La défaillance d’un système critique a un impact direct sur la sécurité des personnes l’utilisant. Des méthodes de vérification et de validation sont donc mises en place pour assurer un fonctionnement fiable. De plus, des normes de certification existent pour assurer un niveau de sécurité en fonction de la criticité du système. La norme pour les systèmes complexes est la norme ARP4754 (Guidelines For Develop-ment Of Civil Aircraft and Systems) [67]. Elle permet de classifier, en fonction de leur criticité, les systèmes selon cinq niveaux : catastrophique, dangereux, majeur, mineur, sans impact. Elle propose aussi d’assigner un niveau de confiance dans le développement (Development Assurance Level - DAL) d’un système en fonction de son niveau de criticité (DAL A pour les plus critiques jusqu’à DAL E pour les moins critiques). La norme ARP4754 est complétée par la norme DO-178C (Software Consi-derations in Airborne Systems and Equipment Certification) [66] qui vise à certifier le logiciel embarqué à l’intérieur d’un système critique et la norme DO-254 (Design Assurance Guidance for Airborne Electronic Hardware) pour le matériel [39]. Embarqué : Les systèmes qui composent un avion sont embarqués dans celui-ci ; ils

sont composés d’une partie matérielle et d’une partie logicielle. Cette caractéristique implique qu’ils sont contraints au niveau spatial, car ils doivent être contenus dans le système qui les embarque. Ils sont également contraints au niveau énergétique car ils sont couplés au système d’alimentation de l’avion. Ils sont aussi contraints par la puissance de calcul et la place mémoire qui leur sont attribuées. L’augmentation de la capacité de calcul de ces systèmes a un effet direct sur la consommation en énergie.

(22)

Réactif : Ces systèmes sont dits réactifs car ils sont en permanence en interaction avec leur environnement. Ils doivent réagir aux changements et s’ajuster continuelle-ment. Ils échangent des données en temps réel pour réaliser les fonctions nécessaires `

a un avion. La limite de temps durant laquelle ces systèmes doivent réagir à un ´

evènement pour que leur comportement ne soit pas jugés défaillant, montre le lien ´

etroit entre le fait qu’ils sont réactifs et qu’ils sont temps réel. L’aspect réactif de ces systèmes demande de mettre en place des tests particuliers.

Tolérance aux pannes et propagation des erreurs : L’avion doit, en toutes circonstances, réagir à son environnement en temps réel et la défaillance d’un de ses systèmes ne doit pas entraˆıner sa panne. Pour répondre à cette problématique, des mécanismes de redondance sont élaborés lors de la conception générale de l’avion. Ces mécanismes répondent aux contraintes de disponibilité des équipements et des fonctions avioniques. Ils permettent, par exemple, aux fonctions logicielles critiques d’être hébergées par deux calculateurs différents de l’avion. Ces calculateurs dis-posent d’un système de communication inter-modules et intra-module qui permet aux applications de coopérer dans la réalisation de certaines tâches. Ces systèmes de communication donnent la possibilité de changer d’application concourant à la r´ ea-lisation d’une tâche lorsqu’une erreur provenant d’une des applications est détectée. Une plate-forme d’exécution logicielle est partitionnée en plusieurs entités. Elle peut donc héberger plusieurs fonctions. La mémoire n’est pas partagée entre les différentes partitions pour éviter la propagation d’erreurs pouvant être critiques.

Les systèmes embarqués au sein d’un avion ont une complexité toujours plus élevée de par les caractéristiques citées ci-dessus. L’état de ces systèmes dépend étroitement de l’état des systèmes avec lesquels ils communiquent. Les types de communication et les données transférées sont hétérogènes.

Toutes ces caract´eristiques impliquent un effort accru pour la conception et le test des syst`emes avioniques.

1.1.3 D´ecoupage d’un syst`eme avionique

Le découpage de l’avion en domaines, systèmes, sous-systèmes, puis en équipements est ´

etabli lors de la phase de spécification du système global comme le montre la figure 1.1. Il permet de raffiner les spécifications du système depuis les fonctionnalités générales de l’avion jusqu’aux spécifications les plus détaillées de chaque équipement. A chaque étape de spécification, des documents de conception et d’exigences sont produits. Le bureau d’étude explicite les exigences de haut niveau et les besoins fonctionnels de l’avion et réalise la conception de l’architecture physique de l’avion. Des documents d’exigences et de description du système sont produits et sont liés aux exigences du niveau avion pour permettre la tra¸cabilité.

(23)

domaines. Ces domaines correspondent à la classification ATA (Air Transport Association of America) qui propose un découpage des systèmes d’un avion en 100 chapitres [79]. Les tableaux 1.1 et 1.2 présentent quelques-uns de ces chapitres et équipements. Il s’agit ensuite d’identifier et de concevoir les systèmes qui répondront aux fonctions de l’avion.

Table 1.1 – Exemple de chapitres ATA et des sous-syst`emes correspondants (1/2)

Domaine syst`eme de l’a´eronef Equipements´

21 Air conditionn´e et pressurisation

Compression Distribution Pressurisation Chauffage Climatisation

Contrˆole de la temp´erature

22 Vol automatique Pilote automatique

Correction de la vitesse

23 Communications

Communication vocale Communication satellite

Informations pour les passagers et divertissements

24 Génération électrique

Contrôle du générateur

Génération de courant alternatif Génération de courant continu Alimentation externe

Distribution du courant alternatif Distribution du courant continu

27 Commandes de vol

Aileron et tab

Gouvernail de direction et tab Gouvernail de profondeur et tab Stabilisateur horizontal

Dispositif hypersustentateur 42 Avionique modulaire intégré Système principal

Composants r´eseau

44 Syst`emes de la cabine

Système de cabine principal Système de divertissement en vol Système de communication externe Système de gestion de la cabine

Les deux cas d’études que nous avons développé au cours du projet FUI ACOVAS (outil Agile pour la COnception et la VAlidation Système) sont tirés de l’ATA 21 (Air conditionné et pressurisation) et de l’ATA 42 (Avionique modulaire intégré). Le premier cas d’étude correspond aux tests réalisés par un fournisseur de systèmes alors que le deuxième

(24)

correspond aux tests réalisés par l’avionneur lors de l’intégration des systèmes produits par les fournisseurs.

Table 1.2 – Exemple de chapitres ATA et des sous-syst`emes correspondants (2/2)

Domaine structure Equipements´

52 Portes

Portes pour les passagers et l’´equipage Sortie d’urgence

Porte de la soute

Porte pour la maintenance des syst`emes Escaliers d’entr´ees

57 Ailes

Aile centrale Aile externe Bout de l’aile

Bord d’attaque de l’aile Bord de fuite de l’aile Ailerons et ´elevons Domaine moteur 72 Moteurs Compresseur Chambre de combustion Turbine

73 Carburant moteur et r´egulation

Distribution Diviseur de d´ebit Contrˆole du carburant

80 Démarrage Système de démarrage

Moteurs

Un domaine est composé de plusieurs systèmes. L’architecture d’interconnexion des systèmes définit les interfaces de communication interne et externe auxquels les systèmes devront se conformer. Le choix de l’architecture a aussi un impact sur la structure interne de chaque système. Il doit prendre en compte les exigences en matière de sécurité, les possibles propagations d’erreurs et principalement les exigences métier. Le bureau d’étude produit un document de spécification technique d’acheteur (Purchaser Technical Specification ou PST) du système pour le transmettre au fournisseur afin qu’il réalise le système souhaité. La figure 1.3 résume l’ensemble des documents produits lors de la conception d’un avion.

Le niveau le plus bas dans ce découpage est le niveau équipement. A ce niveau, les spécifications techniques du système sont détaillées pour chaque équipement qui le compose. Un document PST est aussi produit au niveau équipement. Un équipement comprend une partie matérielle (contrôleur, capteur, actionneur) et le logiciel le pilotant (système d’exploitation, système applicatif). Pour chacun de ces éléments matériels et logiciels, des documents de spécification et de conception ainsi qu’un PST sont également produits. Les

(25)

Figure 1.3 – Documents pour la conception et activit´es de d´eveloppement d’un avion

PST servent ici aussi de cahier des charges qui sont délivrés aux fournisseurs pour qu’ils réalisent le développement du matériel et du logiciel.

1.1.4 Diff´erents types d’architecture avionique

Une architecture avionique définit comment les unités de calcul et les différents capteurs et senseurs de l’avion sont connectés entre eux. Une étude des différentes architectures avioniques a été réalisée par Bill Filmer [35]. Généralement, on les classe en trois grandes catégories : les architectures indépendantes, les architectures fédérées et les architectures intégrées.

Les architectures indépendantes proposent une forte séparation entre les systèmes ap-partenant à des domaines différents. Elles ont pour but de séparer chaque système de contrôle composé d’un calculateur, des capteurs correspondants et d’autres équipements associés. Chacun de ces systèmes réalise les fonctions avioniques d’un même domaine. Les systèmes de contrôle n’ont pas de connexions entre eux ce qui implique qu’il ne peut pas y avoir de propagation d’erreurs d’un système à un autre.

La logique autour des architectures fédérées consiste à séparer fortement chaque système tout en autorisant la communication inter-systèmes par des connexions point à point entre certains systèmes. La complexité de l’architecture est augmentée en partageant des données entre plusieurs fonctions de systèmes différents. Avec ce type d’architecture, une erreur peut se propager d’un système à l’autre ; sa détection et sa tolérance sont gérées via des mécanismes logiciels et grâce à la redondance physique d’équipements. La figure 1.4 montre un exemple d’une telle architecture.

Une nouvelle génération d’architecture a été développée, rempla¸cant les calculateurs spécifiques à chaque système par des calculateurs standardisés pouvant héberger plusieurs fonctions logicielles venant de plusieurs systèmes. Ces plates-formes sont appelées des

(26)

mo-Figure 1.4 – Architecture fédérée

dules IMA (Integrated Modular Avionic) ou calculateurs IMA. Ces modules sont inter-connectés par des bus de données et des switchs de communication. Ce type d’architecture met l’accent sur la modularité et la flexibilité de la conception des nouveaux systèmes em-barqués ; elle est aussi, de par sa nature, plus tolérante aux fautes même si le traitement des erreurs nécessite une certaine complexité de mise en œuvre. La figure 1.5 montre un exemple d’une telle architecture. La standardisation des modules de calcul IMA les rend interchangeables : l’avionneur peut donc changer de fournisseur. Cette architecture permet de réduire les coûts de développement car les activités d’intégration de ces calculateurs standardisés et con¸cus pour les besoins particuliers de l’avionique (special-to-purpose) sont grandement simplifiés.

L’évolution autour des architectures concerne essentiellement les moyens de communi-cation entre les différents systèmes et la standardisation des calculateurs. Les communica-tions entre les calculateurs standardisés d’une architecture IMA se font par des switchs de communications représentés en noir sur la figure 1.5, ce qui permet de réduire le nombre de connexions physiques dans l’avion, en connectant les systèmes non co-géolocalisés à un même bus de données.

Ces architectures permettent d’héberger des fonctionnalités de différents systèmes sur un même calculateur. Un calculateur doit alors partager ses ressources pour des fonction-nalités de différents systèmes : ressources de calcul mais aussi ressources mémoire. Afin de retrouver le niveau d’encapsulation des architectures indépendantes, un partitionnement

(27)

Figure 1.5 – Architecture IMA

des ressources est r´ealis´e [51].

1.1.5 Interface Control Document (ICD)

Ces nouveaux types d’architecture demandent un effort supplémentaire lors de la d´ e-finition des interfaces de chaque système. Chaque système consomme et produit des don-nées via ses interfaces. La définition des interfaces d’un système nécessite la mise en place d’un document de contrôle des interfaces (Interface Control Document ). Un ICD est un document contenant les interfaces d’un système embarqué. Le nom d’ICD est un nom g´ e-nérique et sa structuration peut varier en fonction des entreprises, et même au sein d’une même entreprise. Le changement le plus notoire est la fa¸con d’identifier de manière unique les différentes interfaces d’entrée et de sortie du système. Ces interfaces d’entrée et de sor-tie seront le support pour l’envoi et la réception des paramètres avioniques. Un paramètre avionique correspond à un signal contenant un message qui sera délivré ou consommé par le système. Ce document permet aussi de connaˆıtre quel est le type d’un paramètre d’ap-plication (entier, réel, booléen . . .), ses valeurs minimale et maximale, ou encore le taux de rafraichissement de sa valeur. La transmission des messages peut se faire selon deux modes de communication [41]. Le premier, le mode sampling transmet des messages de structure homogène, où seule la valeur des paramètres contenus dans le message change. Les ports

(28)

d’entrée et de sortie conservent uniquement la dernière occurrence du message à envoyer ou du message re¸cu car seules les valeurs les plus récentes sont pertinentes. Le mode queuing transmet des messages de structure hétérogène : deux messages re¸cus ou envoyés par un même port ne contiennent pas obligatoirement les mêmes paramètres. L’information trans-portée par les messages du mode queuing est variable demandant aux ports de stocker toutes les occurrences de messages re¸cus ou à envoyer. Le mode queuing lève une alarme lorsque la file de transmission est pleine ou quand la file de réception est vide.

Plusieurs niveaux de détail sont fournis. Au plus bas niveau, on retrouve les identifiants des connecteurs du système sous test. Chaque connecteur comprend plusieurs broches (ou pins). Il permet de renseigner les bus de communication qui sont rattachés au connecteur physique. A un niveau logique, on retrouve les messages qui transitent sur ces bus. Puis, au niveau logique le plus haut, les paramètres d’application et les signaux qui lui sont rattachés sont décrits.

Figure 1.6 – Exemple de param`etre ICD

La figure 1.6 est l’exemple d’un paramètre contenu dans un fichier ICD. Dans cet exemple, le paramètre est unique grâce au triplet composé du nom d’application, du nom du bus et du nom de variable qui lui sera attribué. A ce paramètre sera aussi associé un type de données, une unité de mesure et un média de communication. Le paramètre décrit `

a la figure 1.6 correspond à la température de la zone nommée Temperature_cabine1 qui sera re¸cue sur le bus A01_IN par l’application PRIM1A qui sera hébergée sur le système auquel l’ICD appartient.

Ces paramètres sont transmis sur le réseau via des média de communication qui sont de plusieurs types : analogique, discret, AFDX (Avionics Full-Duplex Switched Ethernet ) [2], conforme au protocole ARINC 429 [6], CAN (Controller Area Network ), ou MIL-STD-1553B [28].

1.1.6 Les phases de test

Cette section s’attache à décrire les phases de test d’un système avionique complet depuis les tests unitaires portant sur le logiciel et le matériel jusqu’aux tests en vol. Pour le développement de systèmes avioniques, le processus suivi est un processus dirigé par les plans de test. Il est décrit par Ian Sommerville d’un point de vue logiciel [76]. Ce processus est adapté à chaque entreprise en fonction de ses besoins et de ses stratégies de test. La figure 1.7 schématise les activit´es de test dans la branche ascendante du cycle en V .

Les premières phases de test sur les éléments réels sont réalisées sur le logiciel et les plates-formes qui l’exécuteront ainsi que sur les équipements annexes à ces systèmes, comme les capteurs et les actionneurs, les câbles . . . Chaque équipement ou logiciel intégré dans

(29)

Figure 1.7 – Phases de test

l’avion sera préalablement testé en isolation. Le développement des systèmes se faisant en parallèle, il est donc possible de réaliser les tests en parallèle. On peut considérer un système embarqué comme étant composé d’une application exécutée sur un système d’exploitation grâce à une plate-forme matérielle. La plate-forme matérielle héberge un système d’exploi-tation temps-réel. La plate-forme et le système d’exploitation sont testés séparément dans un premier temps, puis en intégration lors de la phase de test de la plate-forme.

Les fonctions logicielles et les algorithmes sont testés dans un environnement d’exécution temps-réel simulé : ce sont les tests d’application. Puis, cette simulation est remplacée par une modélisation de la plate-forme qui l’accueillera réellement dans l’avion. Ces tests correspondent aux tests d’application.

Concernant la plate-forme, le test s’´etablit en plusieurs ´etapes :

– Au niveau matériel, les équipements (capteurs, contrôleur, . . .) subissent deux types de test : des tests fonctionnels et des tests environnementaux permettant de vérifier que le matériel peut assurer son service dans les conditions de vol normales et ex-ceptionnelles (vibrations, décompression, pressurisation, variations de températures, humidité . . .). Les tests environnementaux sont définis par les standards et normes qui permettent la certification.

– Puis le système d’exploitation est aussi testé, en se concentrant sur son aspect fonc-tionnel. Les pilotes de communication sont testés via un environnement simulé qui produit les messages entrants et sortants.

– Enfin, des tests d’intégration du système d’exploitation sur le matériel sont réalisés. Une simulation logicielle du comportement et des caractéristiques du matériel permet de tester le système d’exploitation dans des conditions proches de l’intégration sur le matériel réel. Le système d’exploitation est aussi testé sur un matériel réel qui aura été vérifié au préalable par les divers tests cités ci-dessus. L’intégration du système d’exploitation sur le matériel constitue la plate-forme qui pourra ensuite héberger les

(30)

applications avioniques.

Une fois ces trois types de test réalisés, la plate-forme matérielle pilotée par le système d’exploitation, peut alors accueillir les applications logicielles qu’elle hébergera réellement dans l’avion. Les tests d’intégration des applications logicielles sur la plate-forme matérielle correspondent aux tests de qualification.

On obtient un système lorsqu’une plate-forme contrôlée par un système d’exploitation permettant d’exécuter une application avionique est intégrée à des équipements externes additionnels. Ce système est testé et correspond à l’activité tests système de la figure 1.7. Pour les tests d’intégration système, des modèles permettent de simuler les autres sys-tèmes interagissant avec le système testé ainsi que l’environnement extérieur. A ce niveau, le concept de redondance est mis en place. De la même manière que les tests d’intégration sont réalisés, des tests multi-systèmes sont possibles lorsque plusieurs systèmes réels sont intégrés ensemble.

Les systèmes sont alors intégrés domaine par domaine, et les systèmes appartenant à un autre domaine sont simulés lors de cette phase de test. Au niveau domaine, les premiers tests au sol sont réalisés.

Une des dernières phases d’intégration assemble les systèmes de la plupart des do-maines. Le but est de monter une première version de l’avion en taille réelle (iron bird ) ou non (mini-bird ) et de vérifier que cette version est opérationnelle i.e. les systèmes fonc-tionnent correctement lors d’une exécution individuelle et simultanée. Dans un iron bird, les systèmes, réseaux informatiques, hydrauliques, de ventilation, . . . sont intégrés et pilotés par les calculateurs et contrôleurs réels. L’iron bird est donc la version finale de l’intégration de l’avion qui permet de réaliser les tests au sol puis de réaliser les premières simulations de vol. Tant que ces batteries de tests ne sont pas validées, aucun test en vol ne sera réalisé. Lors de la réalisation de la première version de l’avion, les premiers tests en vol sont enfin réalisés.

1.2 Un focus sur les tests d’int´

egration

Le développement d’un avion peut être divisé en deux grandes phases : la phase de conception et de développement et la phase d’intégration et de test. Durant la première phase, la vérification et la validation sont effectuées au niveau des spécifications, et durant la deuxième elles sont réalisées au niveau implémentation. Le processus de Vérification et de Validation (V&V) intervient principalement dans la phase montante du cycle en V qui liée à l’intégration des systèmes [5]. La vérification détermine si une partie ou l’ensemble du système respecte bien ses spécifications. La validation s’assure que le système reflète les besoins et attentes des utilisateurs (opérateurs, personnels de maintenance, agences de règlementation et les utilisateurs finaux). Plus précisément :

– La vérification au niveau élicitation et spécification des besoins garantit que les spécifications et besoins de bas niveau sont conformes aux spécifications de

(31)

plus haut niveau.

– La validation au niveau élicitation et spécification des besoins concerne les éléments de décision pris lors de la phase de conception.

– La vérification au niveau implémentation montre la conformité des systèmes, sous-systèmes, composants matériels ou logiciels avec les spécifications et détails de conception.

– La validation au niveau implémentation s’assure que les besoins de l’avionneur ont bien été implémentés dans le système embarqué livré.

Les activités de vérification comprennent : l’analyse statique, la vérification de modèles et la preuve formelle. Des revues et des inspections sur les documents de V&V ont pour but d’améliorer leur qualité.

Le test est le principal moyen de validation. Un test interagit avec le système sous test (System Under Test - SUT) pour le stimuler avec des données d’entrée dans le but d’obtenir des informations en sortie qui seront ensuite analysées pour les comparer aux comportements attendus. Un test comporte plusieurs cas de test. Un cas de test est composé par un ensemble de valeurs en entrée, des conditions d’exécution et la description du résultat attendu. Le processus dédié aux tests commence par leur conception, i.e. les choix des cas de test et la description de la logique de chaque cas de test. La deuxième phase correspond `

a l’implémentation qui prépare et configure l’environnement et les équipements nécessaires `

a la réalisation du test ; elle inclue la production du code exécutable des tests automatisés. Il n’est pas possible d’assurer un comportement correct pour l’ensemble des cas d’ex´ e-cution d’un système complexe. La vérification et la validation servent donc à augmenter le niveau de confiance des systèmes embarqués.

Dans cette section, nous nous concentrons principalement sur les activités de test d’in-tégration (section 1.2.1) qui sont au cœur des préoccupations de cette thèse. Nous nous intéressons aux tests dits In-the-Loop qui sont une fa¸con de réaliser des tests d’intégration pour les systèmes embarqués (section 1.2.2). Nous aborderons pour finir l’implémentation des procédures de test (section 1.2.4) sur un moyen d’essai dédié : le banc de test (sec-tion 1.2.3). La phase d’intégration, portant sur le système complet, implique des tests très coûteux à exécuter en ressources et personnels. Les tests d’intégration sont en général non automatisés.

1.2.1 Les phases de test d’int´egration

La phase d’intégration permet de s’assurer que l’ensemble des composants d’un avion ont le comportement prévu lors de leur exécution conjointe. Lors de cette phase, certains comportements doivent être simulés pour se rapprocher au maximum des conditions de vol réel. Les tests d’intégration accompagnent cette phase et se font grâce à des bancs de test qui permettent de connecter les SUT avec les outils de test et de simuler, grâce à des

(32)

modèles, l’environnement extérieur et les comportements des composants non-disponibles lors du test. Ces simulations sont utilisées pour stimuler le SUT dans un environnement le plus proche possible du contexte d’exécution réel. Les bancs de test transmettent donc des informations vers le SUT et re¸coivent des données qui seront sauvegardées pour vérifier ultérieurement leur conformité.

L’intégration de ces systèmes suit alors une stratégie d’intégration. Généralement, l’in-tégration peut se faire de deux manières :

– L’approche non-incrémentale ou big bang intègre tous les composants et systèmes en même temps.

– L’approche incrémentale intègre un ou plusieurs composants à chaque nouvelle étape d’intégration. En ce qui concerne l’approche incrémentale, on distingue :

L’approche d’intégration ascendante est un processus démarrant depuis le niveau le plus bas, c’est-à-dire le niveau équipement.

L’approche d’intégration descendante est un processus démarrant depuis le niveau le plus haut, c’est-à-dire le niveau avion.

L’approche d’intégration en fonction des composants disponibles vise à intégrer uniquement les composants dont le développement est terminé. Les com-posants en cours de développement sont simulés.

L’approche d’intégration par fonction de l’avion a pour but de réaliser l’in-tégration des fonctionnalités séparément con¸cues.

L’approche d’intégration de l’extérieur vers l’intérieur vise à créer deux processus d’intégration, un ascendant partant du niveau le plus bas et un des-cendant partant du niveau le plus haut. Le but étant de faire converger ces deux processus.

L’approche d’intégration de l’intérieur vers l’extérieur vise à créer deux processus d’intégration, un ascendant et un descendant commen¸cant tous deux à un niveau moyen de détail. Il divergent ensuite pour atteindre respectivement le niveau le plus bas et le niveau le plus haut.

L’approche par processus métier vise à créer un processus d’intégration par type de métier. Les systèmes seront intégrés en fonction de leur place dans la réalisation des cas d’utilisation du métier.

L’approche par complexité décroissante lève les incertitudes liées à une cri-ticité d’intégration élevée.

Les approches incrémentales demandent le développement de simulations ou de stubs des composants qui ne sont pas encore intégrés. Une approche non incrémentale est sou-vent trop contraignante du fait que tous les composants doisou-vent être développés avant l’intégration. Cette stratégie n’est pas viable pour l’intégration de ce type de système.

Dans la plupart des cas, plusieurs stratégies incrémentales sont utilisées conjointement pour répondre aux retards de livraison des fournisseurs. La stratégie la plus usitée est l’ap-proche ascendante qui commence au niveau équipement par l’assemblage de la plate-forme et des applications qui vont s’exécuter sur cette plate-forme. Le processus d’intégration vise

(33)

`

a int´egrer tous les composants de chaque syst`eme au niveau domaine et ensuite au niveau avion.

L’intégration suit globalement une approche ascendante, mais d’autres approches sont utilisées parallèlement. Par exemple, des stratégies par processus métier pourront être envi-sagées en complément au niveau domaine ou avion alors que des approches par complexités décroissantes ou par composants disponibles peuvent être imaginées au niveau équipement. Parce que ces systèmes sont très difficiles à intégrer et que la phase d’intégration est proche de la fin du cycle de développement d’un avion, il s’avère nécessaire de faire au plus tôt des tests d’intégration avec les autres systèmes simulés dans un type de test particulier appelé In-the-Loop testing.

1.2.2 In-the-Loop testing

Les tests d’intégration utilisent un banc de test pour interagir directement avec le mat´ e-riel et permettre la simulation d’un modèle d’environnement. Pour les tests sans interaction avec le matériel, le simulateur peut être hébergé sur un ordinateur classique. Le modèle d’environnement simule, en partie ou complètement, la présence des autres systèmes de l’avion nécessaires à la réalisation du cas de test souhaité. Par exemple, pour les tests des différentes configurations d’un calculateur IMA, le modèle d’environnement simule le comportement des systèmes permettant la réception centralisée des messages d’erreur des calculateurs et la réaction du système par rapport aux différentes erreurs. Ce modèle per-met de produire les données d’entrée dans le but de stimuler le SUT. Celui-ci réagit à ces stimuli en produisant des données en sortie qui sont réinjectées dans le modèle d’environ-nement. Le modèle pourra alors prendre en compte ces données pour ensuite produire les nouvelles données qui seront de nouveau utilisées en entrée du SUT. Ces mécanismes per-mettent de simuler les échanges de données cycliques et ininterrompus des systèmes testés comme décrit à la figure 1.8.

On peut constater que le SUT est vu comme une ”boˆıte noire”. En effet, les tests In-the-Loop ne servent pas à vérifier si les mécanismes internes du SUT sont corrects, mais à vérifier que son comportement en interaction avec les autres systèmes de l’avion l’est.

Le modèle de simulation est exécuté par un simulateur temps-réel et la connexion physique entre le simulateur et le SUT est prise en charge par le banc de test. La simulation temps-réel est utile pour remettre le SUT dans des conditions d’exécution proches des conditions réelles. L’architecture physique du banc permet de reproduire la connexion du matériel à son environnement simulé ou émulé.

Il existe trois types de test In-the-Loop : Model-in-the-Loop (MiL), Software-in-the-Loop (SiL) et Hardware-in-the-Loop (HiL).

Le MiL est l’activité qui se produit le plus tôt dans le cycle de développement. Les tests sont réalisés sur les modèles comportementaux des systèmes. Ces modèles sont produits en fonction des besoins fonctionnels et des caractéristiques des systèmes en cours de conception. Il existe un modèle de simulation par catégorie de test. Un

(34)

Figure 1.8 – Boucle des donn´ees de test pour du test In-the-Loop

modèle peut, par exemple, permettre d’optimiser la longueur des câbles pour alimen-ter électriquement tous les composants d’un avion. Un autre modèle peut simuler le réseau informatique produit par l’interconnexion des calculateurs IMA. Ces mo-dèles peuvent donc simuler l’architecture interne des composants, tout comme les interactions entre eux. Ils sont développés initialement, avant tout développement de matériel et de logiciel. Ces tests ont pour but de valider les exigences et les choix de conception des modèles comportementaux.

Le SiL prend en compte le logiciel réel et l’exécute sur une plate-forme simulée. Dans ce cas, le modèle d’environnement émule le comportement du matériel et du système d’exploitation du calculateur qui contrôlera ce logiciel. Ces tests ont pour but de valider que le logiciel s’exécutera correctement sur la plate-forme matérielle, celle-ci ´

etant encore simul´ee par des mod`eles.

Les tests HiL sont réalisés sur le logiciel réel qui sera exécuté sur le matériel tel qu’il sera configuré dans l’avion final. Cette phase intervient au début de la phase d’intégration lorsque le matériel et le logiciel ont été développés et testés. Le mo-dèle d’environnement ne simule que les interactions avec les systèmes concourants à l’exécution d’un ensemble de cas de test pour un SUT donné. Les tests HiL visent à s’assurer que l’assemblage logiciel-matériel représentant un système s’intègre correc-tement aux systèmes de l’avion.

(35)

1.2.3 Le banc de test

Le but d’un banc de test est de mettre en place des moyens de communication entre les systèmes que l’on souhaite tester pour en vérifier le comportement. Les bancs d’essai sont principalement utilisés pour valider des systèmes composés de matériels et de logiciels. Un banc de test comprend un séquenceur, une interface physique permettant de connecter le SUT aux ressources de test, un système d’alimentation du SUT, un simulateur temps-réel et un ensemble d’outils externes.

Le séquenceur est là pour exécuter les tests automatiques et semi-automatiques. Son but est d’exécuter la liste d’instructions contenues dans les tests formalisés. Ces tests formalisés prennent la forme de procédures de test écrites dans un langage informatique et sont donc exécutables.

Le SUT est connecté physiquement aux ressources de test grâce à une partie du banc de test appelée baie de test qui fait le lien entre le séquenceur, le modèle de simulation et le SUT lui-même. Cette baie permet de simuler les communications avec le monde extérieur. Le SUT est aussi connecté à un module d’alimentation souvent intégré à la baie de test. Une baie de test est modulaire car les cartes de communication qui la composent peuvent ˆ

etre adaptées au système que l’on teste. Il existe plusieurs types de carte en fonction du moyen de communication utilisé (ARINC, AFDX . . .).

Le simulateur temps-réel permet de simuler les interactions entre le SUT et les éléments interagissant avec lui. Ce simulateur sera alors utile pour intégrer de manière artificielle le SUT dans un contexte d’exécution le plus proche possible des conditions d’exécution réelles.

Les outils externes sont soient des outils développés spécifiquement pour les besoins particuliers du test, soient des outils du marché (COTS1). Ils permettent de réaliser des actions spécifiques sur le SUT ou d’enregistrer des données produites par le SUT. On peut par exemple citer l’analyseur de réseau Wireshark qui permet d’enregistrer des trames circulant sur le réseau entre le SUT et le banc. L’analyse des trames réseau par Wireshark procure des informations sur l’état du SUT au cours d’un test. Les outils permettront d’analyser les données pour vérifier a posteriori si le comportement du SUT correspond au comportement attendu.

Un banc de test peut exécuter des tests automatiques, semi-automatiques ou manuels en fonction du niveau d’automatisation du pilotage des outils externes au test et en fonction du niveau d’effort de formalisation engagé pour la procédure de test. Les bancs de test sont de plusieurs types. On peut citer par exemple les bancs d’essai utilisés en phase de développement d’un système ou encore le banc de validation qui permet de valider le système avant la mise en production.

1. Les équipements commercial off-the-shelf sont des équipements facilement disponibles sur le marché n’ayant pas été développés pour un domaine d’application particulier.

(36)

1.2.4 Des exigences aux proc´edures de test

Après avoir présenté les spécificités des tests système pour des systèmes complexes en termes de stratégie d’intégration et de moyen d’essais, nous nous intéressons maintenant au flux de données menant aux procédures de test et caractérisant là aussi un processus particulier.

Les procédures de test prennent la forme de documents qui permettront d’exécuter un test sur un banc de test pour un système donné. Elles sont exécutées soit manuellement par un opérateur de test soit automatiquement dans un langage interprétable par le banc de test. Elles sont souvent manuelles et réalisées au travers d’interfaces graphiques repr´ esen-tant le SUT. Toutes les données observées sont loguées afin d’être analysées, de fa¸con plus détaillée par un data-viewer. Cette fa¸con de faire peut s’avérer nécessaire dans le contexte de certification. Les procédures de test ont différents niveaux de formalisation : le niveau informel, le niveau semi-formel et le niveau formel. Le niveau informel correspond aux pro-cédures de test en langage naturel. L’utilisation du langage naturel pour la description des procédures de test peut entraˆıner des erreurs d’interprétation et d’incompréhension dues au fait qu’un même concept peut être décrit de multiples fa¸cons. Les procédures semi-formelles utilisent des techniques de structuration pour réduire la variabilité et les ambigu¨ıtés des descriptions informelles. Les procédures formalisées quant à elles, sont produites à partir d’un langage informatique formel, qui possède donc une syntaxe et une sémantique bien définies. On peut par exemple citer le langage TTCN-3 (Testing and Test Control Nota-tion) [32] pour la spécification des tests en boite noire dans un système distribué [69] ou des langages de programmation classiques comme Python, C, scripts shell, dialectes XML, . . .

Figure 1.9 – Flux de documents d’une proc´edure

Dans le cas des procédures de test d’intégration, nous présentons à la figure 1.9 le workflow de documents associé à la production d’une procédure de test HiL informelle. Ce